-计算机网络技术与应用教程（第2版） --PPT课件：第7章 网络安全.pptVIP

7.6.2 网络地址转换 NAT 源地址 目的地址 源地址 目的地址 源地址 目的地址 123.456.111.3 源地址 123.456.111.3 目的地址 Internet 被保护 内部网 源IP包 目的IP包 7.6.3 代理技术 被保护网络内部 客 户 服务器 客户 代理 访问 控制 代 理 服务器 代理服务 请求 请求转发 转发 应答 应答 1. 应用级代理 FTP 代理 TELNET 代理 HTTP 代理 POP 代理 SMTP 代理 DNS 代理 out in in out in out out in in out in out … 外部客户 内部服务器 客户—代理连接 代理—服务器连接 外部 内部 内部 接口 外部 接口 客户 公共服务 时 间 请求页 URL检查 请求页 返回页 返回页 内容过滤 2）应用级代理的功能 （1）阻断路由与URL。 （2）隐藏客户。 （3）安全监控。 典型的PKI包含如下5个部分 7.3 身份识别技术 7.3.1 用户识别号与口令攻击 1．猜测和发现口令 ① 常用数据猜测，如家庭成员或朋友的名字、生日、球队名称、城市名、身份证号码、电话号码、邮政编码等。 ② 字典攻击：按照字典序进行穷举攻击。 2．电子监控 在网络或电子系统中，被电子嗅探器、监控窃取。 3．访问口令文件 ① 在口令文件没有强有力保护的情形下，下载口令文件。 ② 在口令文件有保护的情况下，进行蛮力攻击。 4．通过社交工程 如通过亲情、收买或引诱，获取别人的口令。 5．垃圾搜索 收集被攻击者的遗弃物，从中搜索被疏忽丢掉的写有口令的纸片或保存有口令的盘片。 为了提高口令的安全性，可以采用如下一些方法： ● 加长口令的长度； ● 采用动态口令，及时更换口令，甚至采用一次性口令。 7.3.2 认证卡与电子钥匙 认证卡是如名片大小的手持随机动态密码产生器。电子钥匙（ePass）是一种通过USB直接与计算机相连，具有密码验证功能、可靠且高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产品。 7.3.3 生物识别技术 7.3.4 基于密钥的认证 一般来说，获得对方的密钥就是获得了对方一定程度的信任，通过密钥的可用性，就可以证明自己的身份。但是这种认证比较粗糙，也比较脆弱。为此，在公开密钥理论的基础上，开发出来数字证书等精确认证技术。 7.4 安 全 协 议 按照功能，安全协议一般可以分为如下3类。 ● 密钥交换协议：完成会话密钥建立。 ● 认证协议：包括身份认证、消息认证、数据源认证、数据目的认证等，可以防止假冒、篡改、否认等攻击。 ● 非否认协议。 7.4.1 SSH 1．SSH概述 SSH（secure shell）可以把所有传输的数据进行加密，不仅使“中间人”攻击无法实现，也能够防止DNS欺骗和IP欺骗。此外，使用SSH传输的数据是经过压缩的，因而可以加快传输的速度。 2．SSH的应用 SSH提供了很强的验证（authentication）机制与非常安全的通信环境，它最常见的应用就是用来取代传统的Telnet、FTP等网络应用程序。 SSH可以通过“端口转发”在本地主机和远程服务器之间设置“加密通道”，并且这些“加密通道”可以与常见的Pop应用程序、X应用程序、Linuxconf应用程序相结合，提供安全保障。 7.4.2 安全套接层协议 安全套接层协议（security socket layer，SSL）是网景（Netscape）公司提出的建构在TCP之上、应用层之下、基于Web应用的安全协议，它的功能包括：服务器认证、客户认证（可选）、 1．SSL体系结构 ① 握手层（管理层）：用于密钥的协商和管理，由握手协议、密钥更改协议和报警协议组成。 ● SSL握手协议（Handshake Protocol）：准许服务器端与客户端在开始传输数据前，可以通过特定的加密算法相互鉴别。 ● SSL更改密码说明协议（Change Cipher Spec）：保证可扩展性。 ● SSL警告协议（Alert Protocol）：产生必要的警告信息。 ② 记录层：运行SSL记录协议（Record Protocol），为高层应用协议提供各种安全服务，对上层数据进行加密、产生MAC等并进行封装。 2．SSL的工作过程 ① 安全协商：互相交换SSL版本号和所支持的加密算法等信息。 ② 彼此认证。 ● 服务器将自己由CA的私钥加密的证书告诉浏览器。服务器也可以向浏览器发出证书请求，对浏览器进行认证。 ● 浏览器检查服务器的证书（是否